U kunt de aanbevelingen in de handleiding, de technische gids of de installatie gids voor APPLE IPHONE. U vindt de antwoorden op al uw vragen over de APPLE IPHONE in de gebruikershandleiding (informatie, specificaties, veiligheidsaanbevelingen, maat, accessoires, enz.). Uitgebreide gebruiksaanwijzingen staan in de gebruikershandleiding. Gebruiksaanwijzing APPLE IPHONE Gebruikershandleiding APPLE IPHONE Handleiding APPLE IPHONE Bedieningshandleiding APPLE IPHONE Instructiehandleiding APPLE IPHONE
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
Handleiding samenvatting: Apple aanvaardt geen aansprakelijkheid voor druk- of typefouten. Apple 1 Infinite Loop Cupertino, CA 95014 408-996-1010 www.apple.com Apple, het Apple logo, Bonjour, iPhone, iPod, iPod touch, iTunes, Keychain, Leopard, Mac, Macintosh, het Maclogo, Mac OS, QuickTime en Safari zijn handelsmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. iPad is een handelsmerk van Apple Inc. iTunes Store en App Store zijn dienstmerken van Apple Inc., die zijn gedeponeerd in de Verenigde Staten en andere landen. MobileMe is een dienstmerk van Apple Inc. Andere in deze handleiding genoemde bedrijfs- of productnamen zijn handelsmerken van de desbetreffende bedrijven. Producten van andere fabrikanten worden alleen genoemd ter informatie. Dit betekent niet dat deze producten worden aanbevolen of door Apple zijn goedgekeurd. Apple aanvaardt geen enkele aansprakelijkheid met betrekking tot de betrouwbaarheid van deze producten. Gelijktijdig uitgebracht in de Verenigde Staten en Canada. N019-1835/2010-04 3 Inhoudsopgave Voorwoord 6 6 7 8 11 11 12 13 13 13 14 15 16 17 22 22 24 29 De iPhone in een bedrijfsomgeving Nieuwe functies voor bedrijven in iPhone OS 3. 0 en hoger Systeemvereisten Microsoft Exchange ActiveSync VPN Netwerkbeveiliging Certificaten en identiteiten E-mailaccounts LDAP-servers CalDAVservers Meer informatie De iPhone en iPod touch implementeren Apparaten activeren Toegang tot netwerkvoorzieningen en bedrijfsgegevens voorbereiden Kiezen welke beleidsinstellingen voor toegangscodes u voor de apparaten wilt gebruiken Apparaten configureren Over-the-air-aanmeldingen en -configuratie Meer informatie Configuratieprofielen aanmaken en implementeren iPhone-configuratieprogramma Configuratieprofielen aanmaken Configuratieprofielen wijzigen Voorzieningenprofielen en programma's installeren Configuratieprofielen installeren Configuratieprofielen verwijderen en bijwerken Apparaten handmatig configureren VPN-instellingen Wi-Fi-instellingen Exchange-instellingen Identiteiten en rootcertificaten installeren Hoofdstuk 1 Hoofdstuk 2 30 31 32 44 44 44 48 50 50 54 55 60 Hoofdstuk 3 3 61 61 61 Hoofdstuk 4 63 63 65 66 68 70 70 71 71 71 72 72 73 73 73 73 74 74 74 75 75 76 76 78 78 80 81 81 83 84 85 86 87 87 88 89 89 Extra e-mailaccounts Profielen bijwerken en verwijderen Meer informatie iTunes implementeren iTunes installeren Apparaten snel activeren met iTunes Beperkingen instellen voor iTunes Een reservekopie maken van een apparaat met iTunes Programma's implementeren Aanmelden voor het ontwikkelen van programma's Programma's ondertekenen Het voorzieningenprofiel voor distributie aanmaken Voorzieningenprofielen installeren via iTunes Voorzieningenprofielen installeren met iPhone-configuratieprogramma Programma's installeren via iTunes Programma's installeren met iPhoneconfiguratieprogramma Werken met bedrijfsprogramma's Een bedrijfsprogramma uitschakelen Meer informatie Configuratie van de Cisco VPN-server Ondersteunde Cisco-platforms Methoden voor identiteitscontrole Identiteitscontrolegroepen Certificaten IPSec-instellingen Overige ondersteunde functies De structuur van configuratieprofielen Hoofdniveau Inhoud van de payload Profile Removal Password Payload De payload 'Toegangscode' De payload 'E-mail' De payload 'Webknipsels' De payload 'Beperkingen' De payload 'LDAP' De payload 'CalDAV' De payload 'Agenda's met abonnement' De payload 'SCEP' De payload 'APN' De payload 'Exchange' Hoofdstuk 5 Bijlage A Bijlage B 4 Inhoudsopgave 90 92 95 Bijlage C 99 De payload 'VPN' De payload 'Wi-Fi' Voorbeeldconfiguratieprofielen Voorbeeldscripts Inhoudsopgave 5 De iPhone in een bedrijfsomgeving Deze handleiding bevat informatie over het integreren van de iPhone, iPod touch en iPad in uw bedrijfsomgeving. Deze handleiding is bestemd voor systeembeheerders en bevat informatie over het implementeren en ondersteunen van de iPhone, iPod touch en iPad in een bedrijfsomgeving. Nieuwe functies voor bedrijven in iPhone OS 3.0 en hoger iPhone OS 3.x bevat verschillende verbeteringen. Een overzicht van de verbeteringen die van toepassing zijn voor zakelijke gebruikers:  Ondersteuning voor draadloze synchronisatie van CalDAV-agenda's  LDAP-serverondersteuning voor het opzoeken van contactpersonen in emailberichten, adresboek en sms-berichten  Codering en vergrendeling van configuratieprofielen aan een apparaat, zodat het profiel alleen kan worden verwijderd als het beheerderswachtwoord wordt opgegeven  Met iPhoneconfiguratieprogramma gecodeerde configuratieprofielen rechtstreeks toevoegen aan en verwijderen van apparaten die via USB met uw computer zijn verbonden  Ondersteuning voor OCSP (Online Certificate Status Protocol) voor de intrekking van certificaten  Ondersteuning voor op certificaten gebaseerde VPN-verbindingen op verzoek  Ondersteuning voor VPN-proxyconfiguratie via een configuratieprofiel en VPNservers  Via Microsoft Exchange personen uitnodigen voor vergaderingen (Microsoft Exchange 2007-gebruikers kunnen ook de antwoordstatus bekijken)  Ondersteuning voor identiteitscontrole op basis van certificaten voor Exchange ActiveSync-clients  Ondersteuning voor extra EAS-beleidsinstellingen, in combinatie met EASprotocol 12.1 6 Voorwoord  Extra apparaatbeperkingen, waaronder het uitschakelen van de camera, de mogelijkheid om op te geven hoe lang een apparaat ontgrendeld kan blijven en de mogelijkheid om gebruikers te beletten een schermafbeelding te maken  De mogelijkheid om te zoeken in lokale emailberichten en agenda-activiteiten (in IMAP, MobileMe en Exchange 2007 kan ook worden gezocht in e-mailberichten die op de server blijven staan)  Extra postmappen toewijzen voor de levering van push-e-mail  Met behulp van een configuratieprofiel APN-proxyinstellingen opgeven  Webknipsels installeren met behulp van een configuratieprofiel  Ondersteuning voor 802.1x EAP-SIM  Over-the-air uitvoeren van identiteitscontroles en aanmelden van apparaten via een SCEP-server (Simple Certificate Enrollment Protocol)  Bewaren van gecodeerde reservekopieën van gegevens op apparaten in iTunes  Ondersteuning in iPhone-configuratieprogramma voor het aanmaken van profielen via een script  Ondersteuning in iPhone-configuratieprogramma 2.2 voor iPad, iPhone en iPod touch (hiervoor is Mac OS X v10.6 Snow Leopard vereist; Windows 7 wordt tevens ondersteund) Systeemvereisten In dit gedeelte wordt een overzicht gegeven van de systeemvereisten en van de verschillende onderdelen die beschikbaar zijn voor de integratie van de iPhone, iPod touch en iPad in uw bedrijfsomgeving. iPhone en iPod touch Op de iPhone- en iPod touch-apparaten die u in uw bedrijfsnetwerk gebruikt, moet iPhone OS 3.
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
1.x zijn geïnstalleerd. iPad Op de iPad moet iPhone OS 3.2. x zijn geïnstalleerd. iTunes Voor de configuratie van de apparaten is iTunes 9.1 of hoger vereist. iTunes is tevens vereist voor de installatie van softwareupdates op de iPhone, iPod touch en iPad. Bovendien hebt u iTunes nodig voor de installatie van programma's en de synchronisatie van muziek, video's, notities of ander materiaal met een Mac of pc. Om iTunes te kunnen gebruiken, hebt u een Mac of pc met een USB 2.0-poort nodig die voldoet aan de minimumvereisten die op de iTunes-website worden vermeld. Ga naar www.apple.com/nl/itunes/download/. Voorwoord De iPhone in een bedrijfsomgeving 7 iPhone-configuratieprogramma Met iPhone-configuratieprogramma kunt u configuratieprofielen aanmaken, coderen en installeren, voorzieningenprofielen en bevoegde programma's volgen en installeren, en apparaatgegevens vastleggen, zoals consolelogbestanden. Voor iPhone-configuratieprogramma gelden de volgende vereisten:  Mac OS X versie 10.5 Snow Leopard  Windows XP Service Pack 3 met .NET Framework 3.5 Service Pack 1  Windows Vista Service Pack 1 met . NET Framework 3.5 Service Pack 1  Windows 7 met .NET Framework 3.5 Service Pack 1 iPhone-configuratieprogramma werkt in de 32-bits-modus in 64-bits-versies van Windows. U kunt het installatieprogramma voor . Net Framework 3.5 Service Pack 1 downloaden vanaf: http://www.microsoft.com/downloads/details.aspx?familyid=ab99342f-5d1a-413d-831981da479ab0d7 Met het programma kunt u een Outlook-bericht aanmaken en hieraan een configuratieprofiel als bijlage toevoegen. Daarnaast kunt u de namen en emailadressen van gebruikers uit het adresboek van uw desktopcomputer toewijzen aan apparaten die u aan het programma hebt gekoppeld. Voor beide functies is Outlook vereist; u kunt deze functies niet gebruiken als u met Outlook Express werkt. Om deze functies op Windows XP-computers te gebruiken, dient u mogelijk 2007 Microsoft Office System Update: Redistributable Primary Interop Assemblies te installeren. Deze update is noodzakelijk als Outlook al was geïnstalleerd voordat .NET Framework 3. 5 Service Pack 1 is geïnstalleerd. Het installatieprogramma voor Primary Interop Assemblies is beschikbaar op: http://www.microsoft.com/downloads/details.aspx?FamilyID=59daebaa-bed4-4282a28c-b864d8bfa513 Microsoft Exchange ActiveSync De iPhone, iPod touch en iPad ondersteunen de volgende versies van Microsoft Exchange:  Exchange ActiveSync for Exchange Server (EAS) 2003 Service Pack 2  Exchange ActiveSync for Exchange Server (EAS) 2007 Voor ondersteuning van beleidsinstellingen en functies voor Exchange 2007 is Service Pack 1 vereist. 8 Voorwoord De iPhone in een bedrijfsomgeving Ondersteunde Exchange ActiveSync-beleidsinstellingen De volgende Exchange-beleidsinstellingen worden ondersteund:  Enforce password on device  Minimum password length  Maximum failed password attempts  Require both numbers and letters  Inactivity time in minutes Daarnaast worden de volgende Exchange 2007-beleidsinstellingen ondersteund:  Allow or prohibit simple password  Password expiration  Password history  Policy refresh interval  Minimum number of complex characters in password  Require manual syncing while roaming  Allow camera  Require device encryption Raadpleeg de documentatie bij Exchange ActiveSync voor een beschrijving van de beleidsinstellingen. Het Exchange-beleid dat apparaatcodering (RequireDeviceEncryption) voorschrijft, wordt ondersteund op de iPhone 3GS, iPod touch (modellen van najaar 2009 met minimaal 32 GB) en op de iPad. De iPhone, iPhone 3G en andere iPod touch-modellen bieden geen ondersteuning voor apparaatcodering; vanaf die apparaten is het niet mogelijk verbinding te maken met een Exchange Server waarbij apparaatcodering is vereist. Wanneer u het beleid 'Require Both Numbers and Letters' inschakelt op Exchange 2003 of het beleid 'Require Alphanumeric Password' op Exchange 2007, moet de gebruiker een toegangscode voor het apparaat invoeren die ten minste één complex teken bevat. De waarde die door het inactiviteitsbeleid ('MaxInactivityTimeDeviceLock' of 'AEFrequencyValue') is opgegeven, wordt gebruikt om de maximumwaarde in te stellen die gebruikers kunnen selecteren bij zowel 'Instellingen' > 'Algemeen' > 'Automatisch slot' als 'Instellingen' > 'Algemeen' > 'Codeslot' > 'Vraag om code'. Remote Wipe U kunt de inhoud van een iPhone, iPod touch of iPad op afstand wissen (met de functie 'Remote Wipe'). Hierbij worden alle configuratiegegevens en andere gegevens van het apparaat verwijderd. Het apparaat wordt op een veilige manier gewist en de fabrieksinstellingen worden hersteld. Voorwoord De iPhone in een bedrijfsomgeving 9 Belangrijk: Wanneer een iPhone of iPhone 3G wordt gewist, worden de gegevens op het apparaat overschreven; de wistrole van gebruikers via een MS-CHAPV2-wachtwoord, RSA SecurID of CryptoCard  Cisco IPSec met identiteitscontrole van gebruikers via een wachtwoord, RSA SecurID of CryptoCard, en met identiteitscontrole van apparaten via een gedeeld geheim en certificaten (Zie bijlage A voor compatibele Cisco VPN-servers en aanbevelingen voor configuraties.) Cisco IPSec met identiteitscontrole op basis van certificaten biedt ondersteuning voor VPN op aanvraag voor domeinen die u tijdens de configuratie opgeeft. Zie "VPN" op pagina 38 voor meer informatie. Netwerkbeveiliging iPhone OS ondersteunt de volgende beveiligingsstandaarden voor draadloze 802.11inetwerkverbindingen zoals gedefinieerd door de Wi-Fi Alliance: Voorwoord De iPhone in een bedrijfsomgeving 11      WEP WPA - persoonlijk WPA - bedrijfsniveau WPA2 - persoonlijk WPA2 - bedrijfsniveau Daarnaast worden de volgende 802.1X-methoden voor identiteitscontrole ondersteund voor WPA- en WPA2-netwerken op bedrijfsniveau:  EAP-TLS  EAP-TTLS  EAP-FAST  EAP-SIM  PEAP versie 0, PEAP versie 1  LEAP Certificaten en identiteiten De iPhone, iPod touch en iPad kunnen gebruikmaken van X.509-certificaten met RSAsleutels. De bestandsextensies .cer, .crt en .der worden herkend. Er worden bepaalde ketenevaluaties uitgevoerd door Safari, Mail, VPN en andere programma's. U kunt gebruikmaken van P12-bestanden (PKCS #12-standaard) met precies één identiteit. De bestandsextensies .p12 en .pfx worden herkend. Nadat een identiteit is geïnstalleerd, wordt de gebruiker om de wachtzin gevraagd waarmee de identiteit is beveiligd. Certificaten die nodig zijn bij de koppeling tussen een certificaatketen en een vertrouwd rootcertificaat kunnen handmatig worden geïnstalleerd of met behulp van een configuratieprofiel. Het is niet nodig om rootcertificaten toe te voegen die door Apple bij het apparaat zijn geleverd.
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
Raadpleeg het Apple Support-artikel op http://support.apple.com/kb/HT3580?viewlocale=nl_NL voor een lijst met vooraf geïnstalleerde systeemroots. Certificaten kunnen veilig over-the-air worden geïnstalleerd via SCEP. Zie "Overzicht van het aanmeldings- en configuratieproces met identiteitscontrole" op pagina 24 voor meer informatie. 12 Voorwoord De iPhone in een bedrijfsomgeving E-mailaccounts De iPhone, iPod touch en iPad ondersteunen standaard IMAP4- en POP3-emailvoorzieningen voor diverse serverplatforms waaronder Windows, UNIX, Linux en Mac OS X. U kunt ook IMAP gebruiken om e-mail te benaderen van Exchange-accounts bovenop de Exchange-account die u met "direct push" gebruikt. Bij een zoekactie in e-mailberichten kunnen gebruikers de zoekactie voortzetten op de mailserver. Deze functie werkt in combinatie met Microsoft Exchange Server 2007 en de meeste op IMAP-gebaseerde accounts. De e-mailaccountgegevens van de gebruiker, waaronder de gebruikers-ID en het wachtwoord voor Exchange, worden veilig op het apparaat bewaard. LDAP-servers Met de iPhone, iPod touch en iPad worden de contactgegevens opgehaald uit de bedrijfsadreslijsten van de LDAPv3-server van uw bedrijf. U kunt deze adreslijst raadplegen wanneer u contactpersonen zoekt. Ook wordt de lijst automatisch gebruikt voor het aanvullen van e-mailadressen die u opgeeft. CalDAV-servers Op de iPhone, iPod touch en iPad worden agendagegevens gesynchroniseerd met de CalDAV-server van uw bedrijf. Wijzigingen in de agenda worden regelmatig bijgewerkt tussen het apparaat en de server. Daarnaast kunt u een abonnement nemen op alleen-lezenagenda's die zijn gepubliceerd, zoals agenda's met vakantiedagen of agenda's met de planning van een collega. Het aanmaken en verzenden van nieuwe agenda-uitnodigingen vanaf een apparaat wordt niet ondersteund voor CalDAV-accounts. Voorwoord De iPhone in een bedrijfsomgeving 13 Meer informatie Naast deze handleiding bieden de volgende publicaties en websites handige informatie:  De webpagina 'iPhone voor zakelijk gebruik' op www. apple.com/nl/iphone/enterprise  De webpagina 'iPad in het bedrijfsleven' op www.apple.com/nl/ipad/business/  Een overzicht van Exchange op http://technet.microsoft.com/en-us/library/bb124558.aspx  De webpagina 'Deploying Exchange ActiveSync' op http://technet.microsoft.com/enus/library/aa995962.aspx  Exchange 2003 Technical Documentation Library op http://technet. microsoft.com/en-us/library/bb123872(EXCHG.65).aspx  De webpagina 'Managing Exchange ActiveSync Security' op http://technet.microsoft.com/enus/library/bb232020(EXCHG.80).aspx  De webpagina 'Wi-Fi for Enterprise' op www.wi-fi.org/enterprise. php  De webpagina 'iPhone VPN Connectivity to Cisco Adaptive Security Appliances (ASA)' op www.cisco.com/en/US/docs/security/vpn_client/cisco_vpn_client/iPhone/2.0/ connectivity/guide/iphone.html  De iPhone-gebruikershandleiding, die u kunt downloaden via www. apple.com/nl/support/iphone/. Om de handleiding op de iPhone te bekijken, tikt u op de bladwijzer voor de iPhone-gebruikershandleiding in Safari of gaat u naar http://help.apple.com/iphone/.  De iPhone-rondleiding op www.apple.com/nl/iphone/guidedtour  De iPod touch-gebruikershandleiding, die u kunt downloaden via www.apple.com/nl/support/ipodtouch/. Om de handleiding op de iPod touch te bekijken, tikt u op de bladwijzer voor de iPod touch-gebruikershandleiding in Safari of gaat u naar http://help.apple.com/ipodtouch/.  De iPod touch-rondleiding op www.apple. com/nl/ipodtouch/guidedtour  De iPad-gebruikershandleiding, die u kunt downloaden via www.apple.com/nl/support/ipad. Om de handleiding op de iPad te bekijken, tikt u op de bladwijzer voor de iPad-gebruikershandleiding in Safari of gaat u naar http://help.apple.com/ipad/.  De iPad-rondleiding op www.apple.com/ipad/guided-tours/ 14 Voorwoord De iPhone in een bedrijfsomgeving 1 De iPhone en iPod touch implementeren 1 In dit hoofdstuk wordt uiteengezet hoe u de iPhone, iPod touch en iPad in uw bedrijfsomgeving implementeert. De iPhone, iPod touch en iPad zijn zo ontworpen dat ze eenvoudig kunnen worden geïntegreerd in bedrijfsomgevingen met Microsoft Exchange 2003 en 2007, beveiligde draadloze 802. 1X-netwerken en VPN's (Virtual Private Network) die gebruikmaken van Cisco IPSec. Zoals dat bij alle oplossingen voor bedrijfsomgevingen het geval is, zorgen een goede planning en begrip van de mogelijkheden ervoor dat de implementatie eenvoudiger en efficiënter verloopt voor u en uw gebruikers. Bij de implementatie van de iPhone, iPod touch en iPad is het volgende van belang:  Hoe worden de iPhone en de iPad (Wi-Fi + 3G-modellen) van uw bedrijf geactiveerd voor toegang tot een draadloos mobiel netwerk?  Welke netwerkvoorzieningen, programma's en gegevens moeten toegankelijk zijn voor de gebruikers van uw bedrijfsomgeving?  Welke beleidsinstellingen wilt u voor de apparaten opgeven om gevoelige bedrijfsinformatie te beschermen?  Wilt u apparaten afzonderlijk handmatig configureren of een gestroomlijnd proces gebruiken om een groot aantal apparaten in één keer te configureren? De specifieke kenmerken van uw bedrijfsomgeving, uw IT-beleid, uw telecomaanbieder en uw computer- en communicatievereisten zijn bepalend voor uw implementatiestrategie. 15 Apparaten activeren Elke iPhone moet door uw telecomaanbieder zijn geactiveerd voordat het apparaat kan worden gebruikt om te bellen, gebeld te worden, sms-berichten te versturen of verbinding te maken met een mobiel datanetwerk. Neem contact op met uw telecomaanbieder als u meer wilt weten over de tarieven voor spraak- en dataverkeer en het activeren van de iPhone door consumenten en zakelijke gebruikers. U of de gebruiker van de iPhone moet een simkaart in de iPhone installeren. Nadat de simkaart is geïnstalleerd, moet de iPhone op een computer met iTunes worden aangesloten om het activeringsproces te voltooien. Als de simkaart al is geactiveerd, is de iPhone direct klaar voor gebruik. Als de simkaart nog niet is geactiveerd, volgt u in iTunes de stapsgewijze instructies voor het activeringsproces. De iPad moet verbonden zijn met een computer met iTunes om het apparaat te kunnen activeren. In de Verenigde Staten moet u zich voor het Wi-Fi + 3G-model van de iPad aanmelden en met behulp van uw iPad een AT&T-gegevensplan beheren (of annuleren). Tik op 'Instellingen' > 'Mobiele data' > 'Toon account'. De iPad wordt ontgrendeld, zodat u een aanbieder naar keuze kunt instellen. Neem contact op met uw aanbieder om een account aan te maken en een compatibele microsimkaart te bestellen. In de Verenigde Staten worden microsimkaarten die compatibel zijn met AT&T bij het Wi-Fi + 3G-model van de iPad meegeleverd. Hoewel de iPod touch en de iPad Wi-Fi niet over een simkaart of telecomvoorzieningen beschikken, moeten deze ook op een computer met iTunes worden aangesloten om te worden geactiveerd.
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
Aangezien u het apparaat alleen met iTunes kunt activeren, moet u kiezen of u iTunes op de Mac of pc van alle gebruikers installeert, of dat u alle apparaten activeert met uw eigen exemplaar van iTunes. Nadat het activeringsproces is afgerond, is iTunes niet meer noodzakelijk voor gebruik van de iPhone of iPod touch binnen uw bedrijfsomgeving. iTunes is echter wel vereist voor het synchroniseren van muziek, video's en de bladwijzers met een computer. iTunes is eveneens vereist voor het downloaden en installeren van software-updates en het installeren van uw bedrijfsprogramma's. Zie Hoofdstuk 4 voor meer informatie over het activeren van apparaten en het gebruik van iTunes. 16 Hoofdstuk 1 De iPhone en iPod touch implementeren Toegang tot netwerkvoorzieningen en bedrijfsgegevens voorbereiden De iPhone OS 3.x-software maakt het gebruik van beveiligde push-e-mail, pushcontactgegevens en pushagenda's mogelijk in combinatie met uw bestaande Microsoft Exchange Server 2003- of 2007-oplossing en biedt ondersteuning voor GAL (Global Address Lookup), wissen op afstand (Remote Wipe) en beleidsinstellingen voor het gebruik van toegangscodes. Bovendien kunnen gebruikers een beveiligde verbinding met bedrijfsgegevens en -apparatuur tot stand brengen via een draadloos WPA- of WPA2-netwerk met draadloze 802.1Xidentiteitscontrole en/of via een VPNnetwerk met PPTP, LT2P over IPSec of Cisco IPSec. Als uw bedrijf geen Microsoft Exchange gebruikt, kunnen uw gebruikers de iPhone of iPod touch toch gebruiken om e-mail draadloos te synchroniseren met de meeste standaard-POP- of IMAP-servers en -voorzieningen. En ze kunnen iTunes gebruiken om agenda-activiteiten en contactgegevens uit iCal en Adresboek in Mac OS X of Microsoft Outlook in Windows te synchroniseren. Voor draadloze toegang tot agenda's en adreslijsten worden CalDAV en LDAP ondersteund. Zie de informatie in de volgende gedeelten bij de keuze van de netwerkvoorzieningen die u toegankelijk wilt maken voor gebruikers. Microsoft Exchange De iPhone kan rechtstreeks met Microsoft Exchange Server communiceren via Microsoft Exchange ActiveSync (EAS). Exchange ActiveSync onderhoudt een verbinding tussen Exchange Server en de iPhone of de iPad Wi-Fi + 3G waardoor het apparaat onmiddellijk wordt bijgewerkt als een nieuw e-mailbericht of een nieuwe uitnodiging voor een vergadering wordt ontvangen. Aangezien de iPod touch en de iPad Wi-Fi geen verbinding via een mobiel telecomnetwerk kunnen maken, moeten deze apparaten geactiveerd en verbonden zijn met een Wi-Fi-netwerk om pushberichten te kunnen ontvangen. Als uw bedrijf gebruikmaakt van Exchange ActiveSync en Exchange Server 2003 of Exchange Server 2007, zijn alle noodzakelijke voorzieningen al aanwezig. Voor Exchange Server 2007 zorgt u ervoor dat de Client Access Role is geïnstalleerd. Voor Exchange Server 2003 zorgt u ervoor dat u Outlook Mobile Access (OMA) hebt ingeschakeld. Raadpleeg de informatie in de volgende gedeelten als uw bedrijf al gebruikmaakt van Exchange Server, maar nog niet van Exchange ActiveSync. Netwerkconfiguratie  Zorg ervoor dat poort 443 in de firewall is geopend. Maakt uw bedrijf gebruik van Outlook Web Access, dan is poort 443 waarschijnlijk al geopend. Hoofdstuk 1 De iPhone en iPod touch implementeren 17  Controleer of er een servercertificaat is geïnstalleerd op de Exchangefrontendserver en schakel alleen elementaire identiteitscontrole in de eigenschappen van de identiteitscontrolemethode in voor een SSL-verbinding met de Microsoft Server ActiveSync-directory van uw IIS.  Als u een ISA-server (Microsoft Internet Security and Acceleration Server) gebruikt, controleert u of er een servercertificaat is geïnstalleerd en zorgt u dat inkomende verbindingen correct worden omgezet door de publieke DNS-server.  Zorg ervoor dat de DNS-server van uw netwerk een enkelvoudig, extern routeerbaar adres teruggeeft aan de Exchange ActiveSync-server voor zowel intranet- als internetclients. Dit is noodzakelijk om ervoor te zorgen dat het apparaat hetzelfde IPadres kan gebruiken om met de server te communiceren als beide typen verbindingen actief zijn.  Als u een Microsoft ISA-server gebruikt, maakt u een web listener en een publicatieregel voor Exchangewebclienttoegang aan. Raadpleeg de documentatie van Microsoft voor meer informatie.  Stel de time-out voor inactiviteit van alle firewalls en netwerkapparaten in op dertig minuten. Voor informatie over heartbeat- en time-out-intervallen raadpleegt u de documentatie bij Microsoft Exchange op http://technet.microsoft.com/en-us/library/cc182270.aspx. Exchange-accounts configureren  Schakel Exchange ActiveSync voor specifieke gebruikers of groepen in via de Active Directory-voorziening. Gebruikers en groepen zijn standaard ingeschakeld voor alle mobiele apparaten op organisatieniveau in Exchange Server 2003 en Exchange Server 2007. Als u Exchange Server 2007 gebruikt, vindt u meer informatie onder Recipient Configuration in de Exchange Management Console.  Configureer de mobiele functies, beleidsinstellingen en de apparaatbeveiligingsinstellingen via de Exchange System Manager. In Exchange Server 2007 doet u dit via de Exchange Management Console.  Download en installeer Microsoft Exchange ActiveSync Mobile Administration Web Tool. Deze tool is noodzakelijk om de gegevens op een apparaat op afstand te wissen. In Exchange Server 2007 kunnen gegevens ook op afstand worden gewist via Outlook Web Access of de Exchange Management Console. Wi-Fi-bedrijfsnetwerken met WPA/WPA2 Dankzij ondersteuning voor WPA en WPA2 op bedrijfsniveau kunnen de iPhone, iPod touch en iPad veilig gebruikmaken van draadloze bedrijfsnetwerken. WPA/WPA2 op bedrijfsniveau maakt gebruik van AES 128-bits-codering, een beproefde coderingsmethode die ervoor zorgt dat bedrijfsgegevens goed zijn beveiligd. 18 Hoofdstuk 1 De iPhone en iPod touch implementeren Ondersteuning voor 802. 1X-identiteitscontrole zorgt ervoor dat iPhone OS-apparaten in uiteenlopende RADIUS-serveromgevingen kunnen worden geïntegreerd. Verschillende methoden voor draadloze identiteitscontrole via 802.1X worden ondersteund, zoals EAP-TLS, EAP-TTLS, EAP-FAST, PEAPv0, PEAPv1 en LEAP. WPA/WPA2-bedrijfsnetwerken configureren  Controleer of de netwerkapparaten compatibel zijn en selecteer een type identiteitscontrole (EAP-type) dat door de iPhone, iPod touch en iPad wordt ondersteund. Zorg dat 802. 1X is ingeschakeld op de server voor identiteitscontrole. Indien noodzakelijk installeert u een servercertificaat en kent u bevoegdheden voor netwerktoegang aan de gebruikers en groepen toe.  Configureer de draadloze toegangspunten voor 802.1X-identiteitscontrole en geef de bijbehorende informatie over de RADIUS-server op.  Test uw 802. 1X-implementatie met een Mac of pc om te controleren of de RADIUSidentiteitscontrole juist is geconfigureerd.  Als u van plan bent om gebruik te maken van identiteitscontrole op basis van certificaten, moet u ervoor zorgen dat uw publieke sleutel het gebruik van apparaaten gebruikercertificaten via het bijbehorende sleuteldistributieproces ondersteunt.
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
 Controleer of de certificaatstructuur compatibel is met het apparaat en met uw server voor identiteitscontrole. Zie "Certificaten en identiteiten" op pagina 12 voor informatie over certificaten. Virtual Private Networks De iPhone, iPod touch en iPad bieden ondersteuning voor beveiligde toegang tot VPNnetwerken via Cisco IPSec, L2TP over IPSec en PPTP. Als uw organisatie gebruikmaakt van een van deze protocollen, hoeft u uw netwerk verder niet te configureren en hebt u geen programma's van andere fabrikanten nodig. U kunt de apparaten direct gebruiken in uw VPN-infrastructuur. Cisco IPsecimplementaties kunnen gebruikmaken van identiteitscontrole op basis van veelgebruikte digitale X.509-certificaten. Als u met identiteitscontrole op basis van certificaten werkt, kunt u gebruikmaken van VPN op aanvraag, waarmee u kunt zorgen voor een naadloze en veilige draadloze toegang tot uw bedrijfsnetwerk. iPhone OS biedt ondersteuning voor op tokens gebaseerde identiteitscontrole met twee factoren via RSA SecurID en CryptoCard. Gebruikers voeren hun pincode en hun, met een token gegenereerde, eenmalige wachtwoord in op het apparaat zelf tijdens het tot stand brengen van de VPN-verbinding. Zie bijlage A voor compatibele Cisco VPN-servers en aanbevelingen voor configuraties. De iPhone, iPod touch en iPad bieden tevens ondersteuning voor identiteitscontrole op basis van gedeelde geheimen in Cisco IPSec- en L2TP/IPSec-implementaties en voor het gebruik van MS-CHAPv2 voor eenvoudige identiteitscontrole op basis van gebruikersnamen en wachtwoorden. Hoofdstuk 1 De iPhone en iPod touch implementeren 19 Automatische configuratie van de VPN-proxy (PAC en WPAD) wordt ook ondersteund, zodat u proxyserverinstellingen kunt opgeven voor toegang tot specifieke URL's. Richtlijnen voor VPN-configuratie  iPhone OS kan in de meeste bestaande VPN-netwerken worden geïntegreerd, waardoor de configuratie die noodzakelijk is om het apparaat toegang tot uw netwerk te geven tot een minimum beperkt blijft. U kunt de implementatie het best voorbereiden door te controleren of de bestaande VPN-protocollen en -methoden voor identiteitscontrole van uw bedrijf door de iPhone worden ondersteund.  Zorg dat uw VPN-concentrators aan de standaarden voldoen. Het is bovendien verstandig om te controleren of de protocollen die door iPhone OS worden ondersteund zijn ingeschakeld in de implementatie van uw RADIUS-server of server voor identiteitscontrole.  Neem contact op met de leveranciers van uw hardware en software om te controleren of de nieuwste beveiligingsupdates en firmware zijn geïnstalleerd.  Als u URL-specifieke proxyinstellingen wilt configureren, plaatst u een PAC-bestand op een webserver die toegankelijk is met de basis-VPN-instellingen en controleert u of op de server het MIME-type 'application/x-ns-proxy-autoconfig' wordt gebruikt. Een andere mogelijkheid is voor uw DNS of DHCP de locatie op te geven van een WPAD-bestand dat op een server is geplaatst die op vergelijkbare wijze toegankelijk is. IMAP-e-mail Ook wanneer u geen gebruik maakt van Microsoft Exchange, kunt u een beveiligde, op standaarden gebaseerde e-mailserver implementeren die gebruikmaakt van IMAP en identiteitscontrole via SSL. Met deze techniek kunt u bijvoorbeeld toegang krijgen tot e-mail in Lotus Notes/Domino of Novell GroupWise. De mailservers kunnen zich in een DMZsubnetwerk of achter een bedrijfsfirewall bevinden, of beide. iPhone OS biedt ondersteuning voor SSL met 128-bits-codering en X.509-certificaten afkomstig van de belangrijkste certificaatautoriteiten. Het biedt tevens ondersteuning voor sterke identiteitscontrolemethoden, waaronder de veelgebruikte MD5 ChallengeResponse- en NTLMv2-methoden. Richtlijnen voor IMAPnetwerkconfiguratie  Uit beveiligingsoogpunt is het verstandig om op de server een digitaal certificaat van een vertrouwde certificaatautoriteit (CA) te installeren. De installatie van een certificaat van een CA is een belangrijke stap die ervoor zorgt dat uw proxyserver als een vertrouwde entiteit binnen uw bedrijfsnetwerk wordt beschouwd. Zie "Legitimatie" op pagina 42 voor informatie over de installatie van certificaten op een iPhone. 20 Hoofdstuk 1 De iPhone en iPod touch implementeren  Om ervoor te zorgen dat iPhone OS-apparaten e-mail van uw server kunnen ophalen, opent u poort 993 in de firewall en stelt u de proxyserver in op IMAP via SSL.  Om e-mail te kunnen versturen met de apparaten, moet poort 587, 465 of 25 zijn geopend. Poort 587 wordt als eerste gebruikt en verdient de voorkeur. LDAP-adreslijsten Met iPhone OS kunt u toegang krijgen tot op standaarden gebaseerde LDAPadreslijstservers en globale adreslijsten verstrekken of andere informatie die vergelijkbaar is met de informatie in Microsoft Exchange Global Address List. Als op het apparaat een LDAP-account is geconfigureerd, wordt ter identificatie van de standaardzoekbasis naar het kenmerk namingContexts op het hoofdniveau van de server gezocht. Het zoekbereik is standaard ingesteld op de subhiërarchie. CalDAV-agenda's Met de CalDAV-ondersteuning in iPhone OS kunt u globale agenda's en planningen verstrekken voor organisaties die niet werken met Microsoft Exchange. iPhone OS werkt met agendaservers die de CalDAV-standaard ondersteunen. Agenda's met abonnement Als u agenda's waarvoor u alleen-lezenbevoegdheden hebt met bedrijfsactiviteiten, zoals feestdagen of planningen voor speciale activiteiten, wilt publiceren, kunt u een abonnement nemen op agenda's en de gegevens naast de Microsoft Exchange- en CalDAV-agenda's weergeven. iPhone OS werkt met agendabestanden in de iCalendarstructuur (.ics). U kunt agenda's met een abonnement eenvoudig distribueren naar gebruikers door via sms of e-mail de volledige URL te versturen. Wanneer gebruikers op de koppeling tikken, krijgen ze de mogelijkheid om zich te abonneren op de opgegeven agenda. Bedrijfsprogramma's Als u bedrijfsprogramma's voor iPhone OS wilt implementeren, installeert u de programma's op de apparaten via iPhoneconfiguratieprogramma of iTunes. Nadat u een programma op de apparaten van de gebruikers hebt geïnstalleerd, kunt u dit programma het eenvoudigst bijwerken als de gebruikers iTunes op hun Mac of pc hebben geïnstalleerd. Onlinecertificaatstatusprotocol Wanneer u digitale certificaten voor iPhone OSapparaten verstrekt, kunt u overwegen de certificaten met OCSP-ondersteuning uit te geven. Op die manier kan het apparaat bij de OCSP-server nagaan of het certificaat is ingetrokken voordat het certificaat door het apparaat wordt gebruikt. Hoofdstuk 1 De iPhone en iPod touch implementeren 21 Kiezen welke beleidsinstellingen voor toegangscodes u voor de apparaten wilt gebruiken Nadat u hebt opgegeven welke netwerkvoorzieningen en gegevens u aan de gebruikers beschikbaar wilt stellen, moet u bepalen welke beleidsinstellingen voor toegangscodes u wilt implementeren.
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
Het is verstandig om een toegangscode op de apparaten in te stellen als de netwerken, systemen of programma's van uw bedrijf toegankelijk zijn zonder een wachtwoord of token. Als u gebruikmaakt van identiteitscontrole op basis van certificaten in een 802.1X-netwerk of een Cisco IPSec VPN of als uw inloggegevens door uw bedrijfsprogramma worden bewaard, is het verstandig om het gebruik van een toegangscode met een korte time-outperiode voor de apparaten verplicht te stellen, zodat een apparaat niet kan worden gebruikt als het zoekraakt of gestolen wordt. De beleidsinstellingen kunnen op de volgende twee manieren op de iPhone, iPod touch en iPad worden ingesteld. Als het apparaat is geconfigureerd voor gebruik van een Microsoft Exchange-account, worden de Exchange ActiveSyncbeleidsinstellingen draadloos naar het apparaat verstuurd. Zo kunt u de beleidsinstellingen zonder hulp van de gebruiker toepassen en wijzigen. Zie "Ondersteunde Exchange ActiveSync-beleidsinstellingen" op pagina 9 voor informatie over EAS-beleidsinstellingen. Als u geen Microsoft Exchange gebruikt, kunt u vergelijkbare beleidsinstellingen toepassen door configuratieprofielen aan te maken. Als u een beleidsinstelling wilt wijzigen, moet u een bijgewerkt profiel naar de gebruikers versturen of het profiel installeren met behulp van iPhone-configuratieprogramma. Zie "Toegangscode" op pagina 35 voor informatie over beleidsinstellingen voor toegangscodes op apparaten. Als u Microsoft Exchange gebruikt, kunt u uw EAS-beleidsinstellingen ook aanvullen met configuratiebeleidsinstellingen. Op deze manier kunt u toegang geven tot beleidsinstellingen die niet beschikbaar zijn in bijvoorbeeld Microsoft Exchange 2003, of beleidsinstellingen definiëren die specifiek voor iPhone OS-apparaten gelden. Apparaten configureren U moet bepalen hoe u elke iPhone, iPod touch of iPad wilt configureren. Deze keuze is deels afhankelijk van het aantal apparaten dat u nu en in de toekomst wilt implementeren en beheren. Als dit aantal klein is, is het voor u en uw gebruikers wellicht het gemakkelijkst om elk apparaat handmatig te configureren. In dat geval moet u de e-mailaccountinstellingen, Wi-Fi-instellingen en VPN-configuratiegegevens direct op het apparaat invoeren. Zie Hoofdstuk 3 voor meer informatie over handmatige configuratie. 22 Hoofdstuk 1 De iPhone en iPod touch implementeren Als u van plan bent om een groot aantal apparaten te implementeren, of als u veel verschillende e-mailinstellingen, netwerkinstellingen en certificaten moet installeren, is het verstandig om de apparaten te configureren door de aanmaak en distributie van configuratieprofielen. Met configuratieprofielen kopieert u snel instellingen en toegangscontrolegegevens naar een apparaat. Sommige VPN- en Wi-Fiinstellingen kunnen alleen via een configuratieprofiel worden ingesteld. U moet dan een configuratieprofiel gebruiken om beleidsinstellingen voor toegangscodes in te stellen als u geen Microsoft Exchange gebruikt. Configuratieprofielen kunnen worden gecodeerd en ondertekend, zodat u het gebruik ervan kunt beperken tot een bepaald apparaat en kunt voorkomen dat gebruikers de instellingen van een profiel kunnen wijzigen. Daarnaast kunt u instellen dat een profiel aan het apparaat is vergrendeld. Op deze manier kan het profiel alleen worden verwijderd door alle gegevens van het apparaat te verwijderen of door een beheerderstoegangscode op te geven. Of u apparaten nu handmatig configureert of configuratieprofielen gebruikt, u moet hoe dan ook beslissen of u de apparaten zelf configureert of dat u dit door de gebruikers laat doen. Uw beslissing is afhankelijk van de locatie van de gebruikers, of gebruikers binnen uw bedrijf hun eigen IT-apparatuur mogen configureren en de complexiteit van de configuratie die u wilt implementeren. Configuratieprofielen zijn uitermate geschikt voor grote bedrijven, voor externe werknemers en voor gebruikers die niet in staat zijn hun eigen apparaat te configureren. Als u wilt dat gebruikers zelf hun apparaat kunnen activeren of zelf bedrijfsprogramma's kunnen installeren of bijwerken, moet iTunes op de Mac of pc van de gebruikers zijn geïnstalleerd. Houd er bij de keuze om iTunes al dan niet onder uw gebruikers te verspreiden verder rekening mee dat iTunes ook vereist is voor softwareupdates van iPhone OS. Zie hoofdstuk 4 voor informatie over de implementatie van iTunes. Hoofdstuk 1 De iPhone en iPod touch implementeren 23 Over-the-air-aanmeldingen en -configuratie 'Aanmelding' heeft betrekking op het proces voor de identiteitscontrole van een apparaat en gebruiker, zodat u het proces voor het distribueren van certificaten kunt automatiseren. Digitale certificaten bieden verschillende voordelen voor gebruikers. Zo kunt u deze certificaten gebruiken om de identiteitscontrole uit te voeren voor de toegang tot belangrijke bedrijfsvoorzieningen, zoals Microsoft Exchange ActiveSync, draadloze WPA2-bedrijfsnetwerken en zakelijke VPN-verbindingen. Daarnaast kunt u met identiteitscontrole op basis van certificaten het gebruik van VPN op aanvraag toestaan voor naadloze toegang tot bedrijfsnetwerken. Naast het gebruik van over-the-air-aanmelding voor de uitgifte van certificaten voor de infrastructuur van de publieke sleutel voor uw bedrijf (Public Key Infrastructure of PKI), kunt u ook apparaatconfiguratieprofielen implementeren. Op deze manier zorgt u ervoor dat alleen vertrouwde gebruikers toegang tot de bedrijfsvoorzieningen kunnen krijgen en dat de apparaten van de gebruikers volgens uw IT-beleidsinstellingen zijn geconfigureerd. Aangezien configuratieprofielen zowel gecodeerd als vergrendeld kunnen zijn, kunnen de instellingen niet worden verwijderd, gewijzigd of met andere personen worden gedeeld. Deze opties zijn beschikbaar in het hieronder beschreven over-the-air-proces en in iPhone-configuratieprogramma wanneer u apparaten configureert terwijl ze zijn aangesloten op uw beheercomputer. Zie hoofdstuk 2 voor meer informatie over het gebruik van iPhoneconfiguratieprogramma. Voor de implementatie van over-the-air-aanmelding en -configuratie moet u voorzieningen voor identiteitscontrole, adreslijsten en certificaten ontwikkelen en integreren. U kunt deze voorzieningen implementeren met behulp van standaardwebvoorzieningen. Zodra deze voorzieningen zijn geïmplementeerd, kunnen gebruikers hun apparaten op een veilige manier met identiteitscontrole configureren. Overzicht van het aanmeldings- en configuratieproces met identiteitscontrole Om dit proces te kunnen implementeren, moet u een eigen profieldistributievoorziening aanmaken waarmee HTTP-verbindingen worden geaccepteerd, identiteitscontroles voor gebruikers worden uitgevoerd, mobileconfigprofielen worden aangemaakt en het algehele proces wordt beheerd dat in dit gedeelte wordt beschreven. Daarnaast hebt u een CA (certificaatautoriteit) nodig om de apparaatlegitimaties uit te geven met SCEP (Simple Certificate Enrollment Protocol). Zie "Meer informatie" op pagina 29 voor koppelingen naar PKI, SCEP en verwante onderwerpen.
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
In het volgende diagram wordt het aanmeldings- en configuratieproces aangegeven dat op de iPhone wordt ondersteund. 24 Hoofdstuk 1 De iPhone en iPod touch implementeren Fase 1 - Aanmelding starten Profielvoorziening Aanmeldingsverzoek 2 1 Informatieverzoek van apparaat Gebruiker: Anne Johnson voorbeeld voorbeeld Vereiste kenmerken: UDID, OS-versie, IMEI Challenge-token: AnneJohnson1 URL voor respons: https://profielen.voorbeeld.com Fase 1 Aanmelding starten: De aanmelding begint wanneer de gebruiker in Safari de URL opgeeft van de profieldistributievoorziening die u hebt aangemaakt. U kunt deze URL distribueren via sms of e-mail. Met het verzoek tot aanmelding (zie stap 1 in het diagram) moet de identiteit van de gebruiker worden gecontroleerd. Voor de identiteitscontrole kunt u een eenvoudige basiscontrole uitvoeren of u kunt de identiteitscontrole implementeren in uw bestaande adreslijstvoorzieningen. Als respons stuurt uw voorziening in stap 2 een configuratieprofiel (.mobileconfig). De respons bevat een lijst met kenmerken die het apparaat in de volgende respons moet verstrekken en een vooraf gedeelde sleutel (challenge) waarmee de identiteit van de gebruiker tijdens dit proces kan worden overgebracht, zodat u het configuratieproces voor elke gebruiker kunt aanpassen. De apparaatkenmerken waarom kan worden gevraagd, zijn de iPhone OS-versie, de apparaat-ID (MAC-adres), het producttype (iPhone 3GS retourneert iPhone2,1), de telefoon-ID (IMEI) en de siminformatie (ICCID). Zie "Fase 1: Serverrespons - voorbeeld" op pagina 95 voor een voorbeeldconfiguratieprofiel voor deze fase. Hoofdstuk 1 De iPhone en iPod touch implementeren 25 Fase 2 - Identiteitscontrole van apparaat Profielvoorziening Ondertekende respons via POST voorbeeld Kenmerken: UDID, OS-versie, IMEI Challenge-token: AnneJohnson1 Fase 2 Identiteitscontrole van apparaat:Als de gebruiker de installatie van het in fase 1 ontvangen profiel heeft geaccepteerd, worden de gevraagde kenmerken op het apparaat opgezocht, wordt de challengerespons (indien opgegeven) toegevoegd en wordt de respons ondertekend met de eigen identiteit van het apparaat (door Apple uitgegeven certificaat), waarna deze met behulp van 'HTTP Post' wordt teruggestuurd naar de profieldistributievoorziening. Zie "Fase 2: Apparaatrespons - voorbeeld" op pagina 96 voor een voorbeeldconfiguratieprofiel voor deze fase. 26 Hoofdstuk 1 De iPhone en iPod touch implementeren Fase 3 - Installatie van apparaatcertificaat Profielvoorziening Certificaatverstrekker 1 3 Challenge Sleutelspecificaties URL voor respons Challenge Certificaatondertekeningsaanvraag Publieke sleutel Apparaatcertificaat 2 voorbeeld RSA: 1024 Challenge: AnneJohnson1 URL:http://ca.voorbeeld. com/ getkey.exe Fase 3 Installatie van certificaat: In stap 1 verstrekt de profieldistributievoorziening de specificaties die op het apparaat worden gebruikt om een sleutel (RSA 1024) te genereren en om te bepalen naar welke locatie de sleutel moet worden geretourneerd voor certificering met SCEP (Simple Certificate Enrollment Protocol). In stap 2 moet de SCEP-aanvraag met behulp van de challenge uit het SCEP-pakket in de automatische modus worden verwerkt, zodat de identiteit van de aanvraag kan worden gecontroleerd. In stap 3 verstrekt de CA een coderingscertificaat voor het apparaat. Zie "Fase 3: Serverrespons met SCEP-specificaties - voorbeeld" op pagina 96 voor een voorbeeldconfiguratieprofiel voor deze fase. Hoofdstuk 1 De iPhone en iPod touch implementeren 27 Fase 4 - Configuratie van apparaat 2 Profielvoorziening Een .mobileconfig-bestand gecodeerd voor apparaat en ondertekend door profielvoorziening Apparaatkenmerken ondertekend met apparaatcertificaat voorbeeld voorbeeld 1 UDID, OS-versie, IMEI, MAC-adres Exchange-beleid, VPN-instellingen, aanvullende SCEP-payloads, e-mailaccounts, enz. Fase 4 Configuratie van apparaat: In stap 1 verstrekt het apparaat de lijst met kenmerken, ondertekend met het coderingscertificaat dat in de vorige door de CA is geleverd. In stap 2 reageert de profielvoorziening met een gecodeerd .mobileconfig-bestand dat automatisch wordt geïnstalleerd. Het .mobileconfig-bestand moet door de profielvoorziening worden ondertekend. Hiervoor kan bijvoorbeeld het bijbehorende SSL-certificaat worden gebruikt. Naast de algemene instellingen moeten in dit configuratieprofiel ook de bedrijfsbeleidsinstellingen worden gedefinieerd die u wilt vereisen. U moet het profiel vergrendelen, zodat gebruikers dit niet van het apparaat kunnen verwijderen. Het configuratieprofiel kan aanvullende aanvragen voor de aanmelding van identiteiten met behulp van SCEP bevatten, die worden uitgevoerd wanneer het profiel wordt geïnstalleerd. Ook kan het apparaat de gebruiker vragen om het profiel bij te werken wanneer een certificaat dat met SCEP is geïnstalleerd, verloopt of ongeldig wordt. Wanneer de gebruiker de aanvraag goedkeurt, wordt het proces herhaald om een nieuw certificaat en profiel te verkrijgen. Zie "Fase 4: Apparaatrespons - voorbeeld" op pagina 98 voor een voorbeeldconfiguratieprofiel voor deze fase. 28 Hoofdstuk 1 De iPhone en iPod touch implementeren Meer informatie  PKI voor digitale certificaten voor IPSec VPN's op https://cisco. hosted.jivesoftware.com/docs/DOC-3592  Infrastructuur publieke sleutel op http://nl.wikipedia.org/wiki/Public_key_infrastructure  IETF SCEPprotocolspecificatie op http://www.ietf.org/internet-drafts/draft-nourse-scep-18.txt Ga voor aanvullende informatie en extra materiaal voor de iPhone, iPod touch en iPad in bedrijfsomgevingen naar www.apple.com/nl/iphone/enterprise/ en www. apple.com/nl/ipad/business/. Hoofdstuk 1 De iPhone en iPod touch implementeren 29 2 Configuratieprofielen aanmaken en implementeren 2 Configuratieprofielen bepalen hoe de iPhone, iPod touch en iPad samenwerken met uw bedrijfssystemen. Configuratieprofielen zijn XML-bestanden met beveiligings- en beperkingsinstellingen voor het apparaat, VPN-configuratiegegevens, Wi-Fi-instellingen, e-mail- en agendaaccounts en legitimaties voor identiteitscontroles waarmee wordt toegestaan dat de iPhone, iPod touch en iPad in uw bedrijfsomgeving kunnen worden gebruikt. Met iPhoneconfiguratieprogramma kunt u configuratieprofielen installeren op apparaten die via USB op een computer zijn aangesloten, of u kunt configuratieprofielen distribueren via e-mail of met behulp van een webpagina. Zodra gebruikers de e-mailbijlage openen of het profiel via Safari downloaden op hun apparaat, wordt aangeboden om het installatieproces te starten. Als u liever geen configuratieprofielen aanmaakt en distribueert, kunt u de betreffende apparaten ook handmatig configureren. Zie Hoofdstuk 3 voor meer informatie. 30 iPhone-configuratieprogramma Met iPhone-configuratieprogramma kunt u configuratieprofielen aanmaken, coderen en installeren, voorzieningenprofielen en bevoegde programma's volgen en installeren, en apparaatgegevens vastleggen, waaronder consolelogbestanden.
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
Het installatieprogramma voor iPhone-configuratieprogramma vindt u in de map /Programma's/Hulpprogramma's/ (Mac) of in Programma's/iPhone Configuration Utility/ (Windows). Wanneer u iPhone-configuratieprogramma opent, wordt een venster weergegeven dat vergelijkbaar is met het onderstaande venster. Wat er in het hoofdgedeelte van het venster wordt weergegeven, is afhankelijk van het onderdeel dat u in het linkerpaneel selecteert. In dit paneel wordt de bibliotheek weergegeven, die de volgende categorieën bevat: Â 'Apparaten' geeft een overzicht van iPhone- en iPod touch-apparaten die op uw computer zijn aangesloten. Â 'Programma's' geeft een overzicht van de programma's die kunnen worden geïnstalleerd op apparaten die op uw computer zijn aangesloten. Om een programma op een apparaat te kunnen uitvoerenen, is mogelijk een voorzieningenprofiel vereist. Hoofdstuk 2 Configuratieprofielen aanmaken en implementeren 31 Â 'Voorzieningenprofielen' geeft een overzicht van alle profielen die toestaan dat het apparaat wordt gebruikt voor het ontwikkelen van programma's voor het iPhone OS, zoals geautoriseerd door Apple Developer Connection. Zie Hoofdstuk 5 voor meer informatie. Daarnaast zorgen voorzieningenprofielen ervoor dat bedrijfsprogramma's die niet via de iTunes Store zijn gedistribueerd, op apparaten kunnen worden uitgevoerd. Â 'Configuratieprofielen' geeft een overzicht van de configuratieprofielen die u eerder hebt aangemaakt. Hier kunt u opgegeven informatie wijzigen en een nieuwe configuratie aanmaken die u naar een gebruiker kunt sturen of op een verbonden apparaat kunt installeren. In het linkerpaneel staat tevens het onderdeel 'Verbonden apparaten' met een overzicht van de iPhone OS-apparaten die op dat moment op de USB-poort van uw computer zijn aangesloten. Informatie over een verbonden apparaat wordt automatisch opgenomen in de lijst 'Apparaten', zodat deze ook beschikbaar is wanneer het apparaat niet is verbonden. Als een apparaat is verbonden, kunt u ook profielen coderen zodat deze alleen op dat apparaat kunnen worden gebruikt. Wanneer een apparaat is verbonden, kunt u iPhone-configuratieprogramma gebruiken om configuratieprofielen en programma's op het apparaat te installeren. Zie "Configuratieprofielen installeren met iPhone-configuratieprogramma" op pagina 45,"Programma's installeren met iPhoneconfiguratieprogramma" op pagina 73 en "Voorzieningenprofielen installeren met iPhoneconfiguratieprogramma" op pagina 72 voor meer informatie. Wanneer een apparaat met uw computer is verbonden, kunt u tevens de consolelogbestanden en, indien van toepassing, crashlogbestanden weergeven. Dit zijn dezelfde apparaatlogbestanden die ook in de Xcode-ontwikkelomgeving van Mac OS X beschikbaar zijn. Configuratieprofielen aanmaken In dit document komen de termen 'configuratieprofiel' en 'payload' (lading) voor. Een configuratieprofiel is het volledige bestand waarmee een of meer instellingen op een iPhone, iPod touch of iPad worden geconfigureerd. Een payload is een afzonderlijke verzameling van een bepaald type instellingen binnen het configuratieprofiel, bijvoorbeeld de VPN-instellingen. U kunt ervoor kiezen om slechts één configuratieprofiel aan te maken dat alle benodigde payloads, maar het is het overwegen waard om voor certificaten en instellingen afzonderlijke profielen aan te maken. In dat geval kunt u namelijk de gegevens per type bijwerken en distribueren. Bovendien blijven reeds geïnstalleerde certificaten dan behouden wanneer gebruikers een nieuw profiel met bijvoorbeeld gewijzigde VPN- of accountinstellingen installeren. 32 Hoofdstuk 2 Configuratieprofielen aanmaken en implementeren Voor veel payloads kunt u gebruikersnamen en wachtwoorden opgeven. Als u deze informatie weglaat, kan het profiel door meerdere gebruikers worden gebruikt. De gebruiker moet in dit geval de ontbrekende informatie opgeven tijdens de installatie van het profiel. Als u het profiel voor elke gebruiker personaliseert en wachtwoorden gebruikt, moet u het profiel gecodeerd distribueren om de inhoud ervan te beveiligen. Zie "Configuratieprofielen installeren" op pagina 44 voor meer informatie. Als u een nieuw configuratieprofiel wilt aanmaken, klikt u op de knop 'Nieuw' in de knoppenbalk van iPhone-configuratieprogramma. Via de lijst met payloads kunt u payloads aan het profiel toevoegen. Vervolgens kunt u de payloads wijzigen door opties in het wijzigingspaneel in te voeren en te selecteren. Verplichte velden zijn gemarkeerd met een rode pijl. Voor sommige instellingen, zoals 'Wi-Fi', kunt u configuraties toevoegen door op de knop met het plusteken te klikken. Om een configuratie te verwijderen, klikt u in het wijzigingspaneel op de knop met het minteken. Om een payload te wijzigen, selecteert u het gewenste onderdeel in de lijst met payloads, klikt u op de knop 'Configureer' (Mac) of 'Configureren' (Windows) en voert u de gegevens in, zoals hieronder wordt beschreven. Geautomatiseerde aanmaak van configuratieprofielen Het is ook mogelijk om de aanmaak van configuratiebestanden te automatiseren met AppleScript (op een Mac) of C# Script (onder Windows). Als u de ondersteunde methoden en de bijbehorende syntaxis wilt bekijken, doet u het volgende: Â Mac OS X: Gebruik Scripteditor om het AppleScript-woordenboek voor iPhoneconfiguratieprogramma te openen. Â Windows: Gebruik Visual Studio om de methodeaanroepen van iPCUScripting.dll weer te geven. Op een Mac voert u een script uit met het AppleScript-commando 'Tell'. Onder Windows geeft u de scriptnaam als commandoregelparameter door aan iPhoneconfiguratieprogramma. Zie Bijlage C, "Voorbeeldscripts" voor een aantal voorbeelden. Hoofdstuk 2 Configuratieprofielen aanmaken en implementeren 33 Algemeen Hier geeft u de naam en aanduiding van het profiel op en geeft u aan of gebruikers het profiel na installatie kunnen verwijderen. De naam die u hier opgeeft, verschijnt in de lijst met profielen en wordt weergegeven op het apparaat als het configuratieprofiel is geïnstalleerd. De opgegeven naam hoeft niet uniek te zijn. Wel is van belang dat u een beschrijvende naam gebruikt waaraan het profiel eenvoudig te herkennen is. De aanduiding van de configuratie moet wel uniek zijn en moet aan deze notatie voldoen: com.bedrijfsnaam.profielaanduiding, waarbij profielaanduiding een omschrijving van het profiel is. (Bijvoorbeeld com. mijnbedrijf.kantooraanhuis.) De aanduiding is belangrijk omdat tijdens de installatie van het profiel de waarde wordt vergeleken met de aanduiding van de profielen die al op het apparaat zijn geïnstalleerd. Als de aanduiding uniek is, wordt de informatie van het profiel overgezet naar het apparaat. AIs de aanduiding gelijk is aan die van een reeds geïnstalleerd profiel, dan worden de huidige instellingen van het apparaat overschreven door de nieuwe informatie in het profiel, met uitzonderingen van Exchange-instellingen.
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
Om een Exchange-account te wijzigen, moet u het profiel eerst handmatig verwijderen zodat de aan de account gekoppelde gegevens kunnen worden opgeschoond. Om te voorkomen dat een gebruiker een op een apparaat geïnstalleerd profiel verwijdert, kiest u een optie uit het venstermenu 'Beveiliging'. Als u de optie 'Met identiteitscontrole' kiest, kunt u het wachtwoord voor autorisatie opgeven dat moet worden ingevoerd om het profiel van het apparaat te kunnen verwijderen. Als u de optie 'Nooit' selecteert, kan het profiel worden bijgewerkt met een nieuwe versie, maar kan het profiel niet worden verwijderd. 34 Hoofdstuk 2 Configuratieprofielen aanmaken en implementeren Toegangscode Als u geen gebruikmaakt van een Exchange-toegangscodebeleid, kunt u deze payload gebruiken om het gewenste toegangscodebeleid voor het apparaat in te stellen. U kunt bijvoorbeeld opgeven of een toegangscode vereist is om het apparaat te kunnen gebruiken, aan welke voorwaarden de toegangscode moet voldoen en hoe vaak die moet worden vernieuwd. Wanneer het configuratieprofiel wordt geladen, moet de gebruiker een toegangscode opgeven die voldoet aan de voorwaarden die u hier selecteert, anders wordt het profiel niet geïnstalleerd. Als u gebruikmaakt van een toegangscodebeleid voor het apparaat en een Exchangetoegangscodebeleid, worden beide samengevoegd en wordt het strengste beleid uitgevoerd. Zie "Microsoft Exchange ActiveSync" op pagina 8 voor informatie over ondersteunde beleidsinstellingen van Exchange ActiveSync. De volgende opties zijn beschikbaar: Â 'Toegangscode op apparaat vereist':Verplicht het gebruik van een toegangscode voordat het apparaat kan worden gebruikt. Als geen code is vereist, kan iedereen gebruikmaken van alle functionaliteit en gegevens op dit apparaat. Â 'Sta eenvoudige waarde toe' (Mac) of 'Eenvoudige waarde toestaan' (Windows):Staat toe dat gebruikers een toegangscode kiezen waarin gebruik wordt gemaakt van een opeenvolgende reeks tekens of waarin tekens worden herhaald. Een eenvoudige toegangscode is bijvoorbeeld '3333' of 'DEFG'. Â 'Alfanumerieke waarde vereist':Toegangscodes moeten minimaal één letter bevatten. Â 'Minimale lengte toegangscode':Het kleinste aantal tekens waaruit de toegangscode mag bestaan. Â 'Minimale aantal complexe tekens': Het kleinste aantal niet-alfanumerieke tekens (zoals $, & en !) waaruit de toegangscode moet bestaan. Â 'Maximale gebruiksduur toegangscode' (in dagen): Het aantal dagen waarna gebruikers hun toegangscode moeten wijzigen. Â 'Automatisch slot' (in minuten): Als het apparaat gedurende de opgegeven periode niet wordt gebruikt, wordt het automatisch vergrendeld. Het apparaat kan worden ontgrendeld door de toegangscode op te geven. Â 'Geschiedenis toegangscodes': Nieuwe toegangscodes worden niet geaccepteerd als deze gelijk zijn aan eerder gebruikte toegangscodes. U kunt opgeven hoeveel eerdere toegangscodes voor deze vergelijking bewaard moeten blijven. Â 'Geldigheid toegangscode bij vergrendeling': Hiermee wordt aangegeven hoe snel het apparaat na gebruik weer kan worden ontgrendeld, zonder dat hierbij om de toegangscode wordt gevraagd. Hoofdstuk 2 Configuratieprofielen aanmaken en implementeren 35 Â 'Maximale aantal mislukte pogingen': Hiermee wordt bepaald hoeveel pogingen mogen worden gedaan om de juiste toegangscode in te voeren voordat het apparaat wordt gewist. Als u deze instelling niet wijzigt, treedt na zes mislukte pogingen een vertraging op, zodat het even duurt voordat de toegangscode opnieuw kan worden ingevoerd. De vertraging wordt na iedere mislukte poging langer. Na de elfde mislukte poging worden alle gegevens en instellingen veilig van het apparaat gewist. De vertraging wordt altijd na de zesde poging gestart, dus als u hier een waarde van 6 of lager opgeeft, vindt geen vertraging plaats en wordt het apparaat direct gewist zodra de opgegeven waarde wordt overschreden. Beperkingen Met deze payload kunt u opgeven tot welke apparaatvoorzieningen de gebruiker toegang heeft. Â 'Sta expliciet materiaal toe' (Mac) of 'Expliciet materiaal toestaan' (Windows):Als deze optie is uitgeschakeld, wordt expliciet muziek- of videomateriaal dat via de iTunes Store is aangeschaft,verborgen. Expliciet materiaal wordt als zodanig aangeduid door de aanbieders van het materiaal (zoals platenlabels) bij de verkoop via de iTunes Store. Â 'Sta gebruik van Safari toe' (Mac) of 'Gebruik van Safari toestaan' (Windows): Als deze optie is uitgeschakeld, wordt het programma Safari uitgeschakeld en wordt het programmasymbool uit het beginscherm verwijderd. Met deze optie kunt u ook voorkomen dat gebruikers webknipsels kunnen openen. Â 'Sta gebruik van YouTube toe' (Mac) of 'Gebruik van YouTube toestaan' (Windows): Als deze optie is uitgeschakeld, wordt het programma YouTube uitgeschakeld en wordt het programmasymbool uit het beginscherm verwijderd. Â 'Sta gebruik van iTunes Music Store toe' (Mac) of 'Gebruik van iTunes Music Store toestaan' (Windows): Als deze optie is uitgeschakeld, wordt de iTunes Music Store uitgeschakeld en wordt het programmasymbool uit het beginscherm verwijderd. Gebruikers kunnen materiaal niet vooraf bekijken of beluisteren en geen materiaal aanschaffen of downloaden. Â 'Sta installatie van programma's toe' (Mac) of 'Installatie van programma's toestaan' (Windows): Als deze optie is uitgeschakeld, wordt de App Store uitgeschakeld en wordt het programmasymbool uit het beginscherm verwijderd. Gebruikers kunnen geen programma's installeren of bijwerken. Â 'Sta gebruik van camera toe' (Mac) of 'Gebruik van camera toestaan' (Windows): Als deze optie is uitgeschakeld, wordt de camera volledig uitgeschakeld en wordt het camerasymbool uit het beginscherm verwijderd. Gebruikers kunnen geen foto's maken. Â 'Sta schermafbeelding toe' (Mac) of 'Schermafbeelding toestaan' (Windows): Als deze optie is uitgeschakeld, kunnen gebruikers geen schermafbeelding bewaren. 36 Hoofdstuk 2 Configuratieprofielen aanmaken en implementeren Wi-Fi Met deze payload geeft u de instellingen voor verbinding met uw draadloze netwerk op. U kunt meerdere netwerkconfiguraties opgeven door op de knop met het plusteken te klikken. De onderstaande instellingen zijn verplicht. Alleen indien deze overeenkomen met de instellingen van uw netwerk, kan de gebruiker een verbinding tot stand brengen. Â 'SSID (Service Set Identifier'):Hier geeft u de SSID op van het draadloze netwerk waarmee verbinding wordt gemaakt. Â 'Verborgen netwerk': Hiermee geeft u op of het netwerk zijn identiteit kenbaar maakt.
Uw gebruiksaanwijzing. APPLE IPHONE http://nl.yourpdfguides.com/dref/3677412
Powered by TCPDF (www.tcpdf.org)
